IT-Sicherheit: Database-Security
Praxis: Datenbanken vor Angriffen sichern
Datenbanksicherheit ist ein Thema, das viele IT-Verantwortliche in Firmen und Organisationen nicht »auf dem Radar« haben. Dabei kann es für ein Unternehmen lebensbedrohlich werden, wenn Kundendaten oder Geschäftsgeheimnisse von Angreifern »abgesaugt« werden. Der Münchner IT-Dienstleister matrix technology AG hat auf Basis der Tools von Warevalley ein Konzept für die Schwachstellenanalyse und den Schutz von Datenbanken entwickelt.
Beispiele für den Diebstahl von vertraulichen Informationen aus schlecht gesicherten Datenbanken gibt es zuhauf. So verschafften sich Anfang Mai dieses Jahres Hacker Zugang zu Databases der renommierten University of California in Berkeley. Sie entwendeten die persönlichen Daten von 160.000 Studenten und Absolventen der Universität.
Michael Aschauer, Servicemanager bei matrix technology in München: »Datenverluste können für Unternehmen und Behörden massive finanzielle und juristische Folgen nach sich ziehen.«
Doch auch in Deutschland häufen sich Vorfälle dieser Art: So musste im vergangenen Jahr ein Vorstand des Mobilfunkunternehmens T-Mobile zurücktreten, nachdem sich herausstellte, dass die Datensätze von 17 Millionen Kunden des Unternehmens gestohlen worden waren.
Und im April 2009 demonstrierte die deutsche Sicherheitsfirma Resisto, wie sich mithilfe einer so genannten Brute-Force-Attacke die E-Mail-Adressen von 14 Millionen T-Online-Kunden aus der Datenbank der Telekom entwenden lassen.
Diese Beispiele belegen, dass Firmen dem Thema Datenbanksicherheit zu wenig Beachtung schenken. »Das ist völlig unverständlich, weil Datenverluste für Unternehmen, Behörden und Organisationen ein massives finanzielles Risiko mit sich bringen können«, sagt Michael Aschauer, Servicemanager beim Münchner IT-Dienstleister matrix technology AG. Matrix bietet unter der Bezeichnung » mDS « (matrix Database Security) ein Konzept für Datenbank-Sicherheitsmanagement an.
Mehr als 200 Dollar Schaden pro Datensatz
Die amerikanische Beratungsfirma Ponemon Institute hat errechnet, dass Datenverluste (»Data Breaches«) jedes Unternehmen im Durchschnitt rund 6,6 Millionen Dollar kosten. Pro Datensatz, der durch Hackerangriffe oder Nachlässigkeit verlorengeht, müssen 202 Dollar Mehrkosten eingeplant werden.
Sie entstehen durch das Neuerfassen verloren gegangener Daten, die Information der betroffenen Kunden, das Ausstellen neuer Log-in-Daten und Passwörter und nicht zuletzt durch den Verlust von Umsatz, etwa weil verärgerte Kunden zu einem Konkurrenten wechseln. Die Resultate von Ponemon beruhen auf der Untersuchung von Vorfällen in 43 Firmen aus 17 Branchen, die sich 2008 zugetragen haben.
Doch ein unzureichender Schutz von Datenbanken kann auch juristische Folgen für IT-Leiter und Geschäftsführer nach sich ziehen. Regelungen wie das Sarbanes-Oxley-Act (SOX), Euro-SOX (Richtlinien der Europäischen Kommission), Basel II (Eigenkapitalvorschriften) oder das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) sehen Sanktionen vor, wenn ein Unternehmen den Schutz von sensiblen Informationen vernachlässigt.
In Extremfällen können Manager dafür persönlich zur Verantwortung gezogen werden und sogar mit Haftstrafen belegt werden.
Typische Sicherheitsschwachstellen bei Datenbanken
»Bei unseren Analysen stoßen wir immer auf dieselben Schwachstellen, was das Absichern von Datenbanken betrifft«, sagt Michael Aschauer. Zu den klassischen Problemen zählen:
- eine zu großzügige Vergabe von Rechten
- der Missbrauch von vorhandenen Berechtigungen
- zu schwache Passwörter
- Sicherheitslücken in der Datenbanksoftware
- eine unsichere Konfiguration der Datenbank
- Angriffe mittels SQL-Injection
- zu schwache Audit-Funktionen
- schlecht gesicherte beziehungsweise unverschlüsselte Backups.
Solche Mängel treten in Unternehmen und Organisationen aller Größenordnungen auf. Allerdings sind kleinere und mittelständische Firmen stärker betroffen. Das liegt nicht an der mangelnden Kompetenz der IT-Mitarbeiter, sondern meist daran, dass die IT-Abteilungen in kleineren Firmen in stärkerem Maße be- und überlastet sind als die Kollegen in Großunternehmen.
- Praxis: Datenbanken vor Angriffen sichern
- Suche nach einer Sicherheitslösung
- Überwachung mit »Chakra«
